출시일: 2008-01-07
이 토토 베이에는 7.3.20의 다양한 수정 사항이 포함되어 있습니다. 중요한 보안 문제에 대한 수정 사항을 포함합니다.
이것이 마지막이 될 것으로 예상됩니다.포스트그레SQL7.3.X 시리즈 출시. 사용자는 최신 토토 베이 분기로 업데이트하는 것이 좋습니다. 곧.
7.3.X를 실행하는 경우 덤프/복원이 필요하지 않습니다. 그러나 이전 버전에서 업그레이드하는 경우 7.3.13, 7.3.13 릴리스 노트를 참조하세요.
색인의 함수가 다음과 같이 실행되는 것을 방지합니다. 실행 중인 사용자의 권한진공, 분석, 등 (톰)
색인 표현식 및 부분 색인에 사용되는 함수 새 테이블 항목이 있을 때마다 술어가 평가됩니다. 만들어진. 이것이 위험을 초래한다는 것은 오랫동안 알려져 왔습니다. 소유한 테이블을 수정하는 경우 트로이 목마 코드 실행 신뢰할 수 없는 사용자에 의해. (트리거, 기본값, 제약 조건 확인 등도 동일한 유형의 위험을 초래합니다.) 그러나 인덱스의 함수는 추가 위험을 초래합니다. 다음과 같은 일상적인 유지 관리 작업에 의해 실행됩니다.진공이 가득 참, 이는 일반적으로 슈퍼유저 계정에서 자동으로 수행됩니다. 을 위한 예를 들어, 악의적인 사용자가 슈퍼유저로 코드를 실행할 수 있습니다. 트로이 목마 인덱스 정의를 설정하여 권한 다음 일상적인 진공청소기를 기다리고 있습니다. 수정 사항은 다음과 같습니다. 표준 유지 관리 작업(포함)진공, 분석, REINDEX그리고클러스터)을 테이블 소유자로 실행합니다. 호출하는 사용자가 아닌 동일한 방법을 사용하여 권한 전환 메커니즘이 이미 사용됨보안 정의자함수. 방지하기 위해 이 보안 조치를 우회하여 다음을 실행합니다.세션 승인 설정그리고역할 설정이제 a 내에서는 금지됩니다.보안 정의자컨텍스트. (CVE-2007-6600)
수퍼유저가 아닌 사용자가 사용하도록 요구/contrib/dblink비밀번호만 사용하려면 보안 수단으로서의 인증(Joe)
7.3.20에 나타난 수정 사항은 불완전했습니다. 일부만 구멍을 막았기 때문에dlink함수. (CVE-2007-6601, CVE-2007-3278)
잠재적인 충돌 수정번역()멀티바이트를 사용하는 경우
데이터베이스 인코딩(Tom)
만들다기여/tablefunc's크로스탭()NULL rowid 처리
충돌이 아닌 자체 카테고리로
(조)
특정 버전 필요자동 구성재생성 시 사용됩니다. 그만큼구성스크립트 (피터)
이는 개발자와 패키저에만 영향을 미칩니다. 변화 테스트되지 않은 조합을 실수로 사용하는 것을 방지하기 위해 만들어졌습니다. 의자동 구성그리고PostgreSQL버전. 너 정말로 사용하고 싶다면 버전 확인을 제거할 수 있습니다. 다른자동 구성버전이지만 결과가 어떠하든지 여부는 귀하의 책임입니다. 작동하는지 아닌지.